AhnLab Güvenlik Acil Durum Müdahale Merkezi’nden (ASEC) alınan bir rapora göre, kötü yönetilen Linux SSH sunucuları, ShellBot kötü amaçlı yazılımının farklı varyantlarının konuşlandırıldığı yeni bir kampanyanın hedefi haline geliyor.
Kötü Yönetilen Sunucular ile kastedilen nedir?
Kötü yönetilen hizmetler, sunucuyu sözlük saldırılarına karşı savunmasız hale getiren zayıf hesap kimlik bilgilerini ifade eder. MS-SQL ve RDP (uzak masaüstü protokolü) gibi hizmetler genellikle hedeflenir.
Linux sunucularında SSH (güvenli kabuk) hizmetleri birincil hedeflerdir. IoT ortamlarında sözlük saldırıları, yerleşik bir Linux işletim sistemi veya eski bir Linux sunucusu üzerinde kurulu Telnet hizmetini hedef alır.
ShellBot nedir?
PerIBot olarak da bilinen ShellBot, Perl’de geliştirilmiş eski bir DDoS bot kötü amaçlı yazılımıdır. Kötü amaçlı yazılım, C2 sunucusuyla iletişim kurmak için genellikle Internet Relay Chat/IRC protokolünü kullanır.
Şu anda, kötü amaçlı yazılım, zayıf kimlik bilgilerine sahip sunucuları hedef alarak güvensiz Linux sistemlerine yönelik saldırılar başlatmak için kullanılıyor. Saldırganlar, sistemde SSH bağlantı noktası 22’nin açık olup olmadığını belirlemek için tarayıcı kötü amaçlı yazılımını kullandıktan sonra bir sisteme dağıtılır.
Saldırı Ayrıntıları
ASEC araştırmacıları, ShellBot’un bir kabuk komut dosyası derleyici aracılığıyla kripto para madencilerini dağıtan Linux sunucularını hedef alan saldırılarda kullanıldığını belirtti.
ASEC’in raporunda, “ShellBot kuruluysa, Linux sunucuları, tehdit aktöründen bir komut aldıktan sonra belirli hedeflere yönelik DDoS saldırıları için DDoS Botları olarak kullanılabilir.”
Saldırı, bir sözlük saldırısı başlatmak ve sunucuyu ihlal etmek için bir SSH kimlik bilgileri listesi kullanılarak başlar. Bu bir kez başarıldığında, tehdit aktörü yükü konuşlandırır ve C2 sunucusuyla iletişim kurmak ve ShellBot’a DDoS saldırıları yürütmesi ve veri çalması talimatını veren komutları almak için IRC protokolünü kullanır.
Kampanyada Kullanılan Farklı ShellBot Varyantları
ASEC araştırmacılarına göre, LiGhT’nin Modded perlbot v2, DDoS PBot v2.0 ve PowerBots (C) GohacK dahil olmak üzere üç ShellBot çeşidi tanımlandı. İlk iki sürüm, HTTP, UDP ve TCP protokolleriyle çok çeşitli DDoS saldırı komutları içerir.
Tersine, PowerBot’lar, kabuk erişimi sağlayabilen ve virüslü ana bilgisayardan rasgele dosyaları yükleyebilen arka kapı benzeri yeteneklerle donatılmıştır. Tehdit aktörleri, ek kötü amaçlı yazılım yüklemek için bu arka kapı yeteneklerini kullanabilir ve sunucuyu kötüye kullanarak farklı türde saldırılar başlatabilir.
ALAKALI HABERLER
- APT Group’un Vurduğu Windows, Linux ve macOS Kullanıcıları
- Çok platformlu SysJoker arka kapısı Linux Cihazlarını vurur
- DDoS Kötü Amaçlı Yazılım ‘Kaos’ Linux ve Windows Cihazlarını Vurdu